Accueil
Actualités
Détails

Vulnérabilité d'injection de prompt dans Coinbase AgentKit sous-estimée en termes d'impact

iconChaincatcher
Partager
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconRésumé

expand icon
Un rapport d'actualité sur une vulnérabilité révèle une faille d'injection de commande dans Coinbase AgentKit, permettant aux attaquants d'effectuer des transferts de jetons non autorisés via des entrées malveillantes. La faille de sécurité a été testée sur Base Sepolia et pourrait permettre des approbations ERC-20 infinies et un accès au serveur. Signalée en février, Coinbase lui a attribué une gravité moyenne et offert une récompense de 2 000 $ . Le chercheur affirme que l'impact est bien plus important que ce qui a été reconnu.

ChainCatcher rapporte, selon CriptoNoticias, qu'un chercheur en sécurité indépendant a révélé une vulnérabilité d'injection de prompt dans Coinbase AgentKit, permettant à des attaquants d'induire un agent IA à effectuer des transferts de jetons non autorisés sans confirmation humaine. Cette vulnérabilité a été vérifiée en pratique sur le réseau de test Base Sepolia via des transactions réelles. De plus, le chercheur a souligné que cette faille expose également un processus d'autorisation infinie pour les jetons ERC-20, ainsi qu'un accès à des serveurs distants dans le même contexte d'exécution de l'agent, élargissant ainsi le risque au-delà du simple vidage du portefeuille ; toutefois, le rapport ne précise pas quelles infrastructures spécifiques pourraient être concernées. La vulnérabilité a été signalée au programme de récompenses de Coinbase en février et a été validée officiellement, classée comme moyennement critique avec une récompense de 2 000 dollars versée. Toutefois, le chercheur insiste sur le fait que l'impact réel de cette faille est bien supérieur à la notation officielle.

Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations. Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.